软件系统安全规范.pdfVIP

1.1目的

随着计算机应用的广泛普及,计算机平安已成为衡量计算机系统性能的一个重要指标.

计算机系统平安包含两局部内容,一是保证系统正常运行,预防各种非成心的错误与

损坏；二是预防系统及数据被非法利用或破坏.两者虽有很大不同,但又相互联系,无

论从治理上还是从技术上都难以截然分开,因此,计算机系统平安是一个综合性的系

统工程.

本标准对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设

计、安装、运行及监察部门有一个衡量系统平安的依据.

1.2范围

本标准是一份指导性文件,适用于国家各部门的计算机系统.

I

在弓用本标准时,要根据各单位的实际情况,选择适当的范围,不强求全面米用.

、平安组织与治理

2.1平安机构

2.1.1单位最高领导必须主管计算机平安工作.

2.1.2建立平安组织：

2.1.2.1

平安组织由单位主要领导人领导,不能隶属于计算机运行或应用部门.

2.1.2.2

平安组织由治理、系统分析、软件、硬件、保卫、审计、人事、通信等有

关方面人员组成.

2.1.2.3

平安负责人负责平安组织的具体工作.

2.1.2.4

平安组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对

策并监督实施.

2.1.3

平安负责人制：

2.1.3.I确定平安负责人对本单位的计算机平安负全部责任.

2.1.3.2

只有平安负责人或其指定的专人才有权存取和修改系统授权表及系统特

权口令.

2.1.3.3

平安负责人要审阅每天的违章报告,限制台操作记录、系统日志、系统报

警记录、系统活动统计、警卫报告、加班报表及其他与平安有关的材料.

2.1.3.4

平安负责人负责制定平安培训方案.

2.1.3.5

假设终端分布在不同地点,那么各地都应有地区平安负责人,可设专职,也

可以兼任,并接受中央平安负责人的领导.

2.1.3.6

各部门发现违章行为,应向中央平安负责人报告,系统中发现违章行为要通

知各地有关平安负责人.

2.1.4

计算机系统的建设应与计算机平安工作同步进行.

2.2人事治理

2.2.1

人员审查：必须根据计算机系统所定的密级确定审查标准.如：处理机要信息

的系统,接触系统的所有工作人员必须按机要人员的标准进行审查.

2.2.2

关键岗位的人选.如：系统分析员,不仅要有严格的政审,还要考虑其现实表

现、工作态度、道德修养和业务水平等方面.尽可能保证这局部人员安全可靠.

2.2.3

所有工作人员除进行业务培训外,还必须进行相应的计算机平安课程培训,才

能进入系统工作.

2.2.4

人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方

面进行考核,对不适于接触信息系统的人员要适时调离.

2.2.5

对调离人员,特别是在不情愿的情况下被调走的人员,必须认真办理手续.除人

事手续外,必须进行调离谈话,中明其调离后的保密义务,收回所有钥匙及证件,退还

全部技术手册及有关材料.系统必须更换口令和机要锁.在调离决定通知本人的同时,

必须立即进行上述工作,不得拖延.

2.3平安治理

2.3,1

应根据系统所处理数据的秘密性和重要性确定平安等级,井据此采用有关标准

和制定相应治理制度.

2.3.2

平安等级可分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可

以不同.

2.3.2.1

保密等级应按有关规定划为绝密、机密、秘密.

2.3.2.2A

可靠性等级可分为三级.对可靠性要求最高的为级,系统运行所

要求的最低限度可靠性为C级,介于中间的为B级.

2.3.3

用于重要部门的计算机系统投入运行前,应请公安机关的计算机监察部门进行

平安检查.

2.3.4

必须制定有关电源设备、空凋设备,防水防盗消防等防范设备的治理规章